[Part 2] Is c# safe? Readonly fields... Really readonly?

Hi

 Today I present you part 2 of "Is c# safe" series. 
Few days ago I though about whether possibility to set value to readonly field outside the constructor.

 Quoting the Microsoft website:
"The readonly keyword is a modifier that you can use on fields. When a field declaration includes a readonly modifier, assignments to the fields introduced by the declaration can only occur as part of the declaration or in a constructor in the same class.
Example
In this example, the value of the field year cannot be changed in the method ChangeYear, even though it is assigned a value in the class constructor..."

As last time, I wrote unit tests to see if it is possible. 
commit to my github

 Unfortunately Microsoft... Using reflection above sentence isn't true.

 I added new class named "InternalCallReadonlyVsConst" and it looks like below

namespace InternalClasses
{
  class InternalCallReadonlyVsConst
  {
    private readonly int privateReadonlyInt = 100;
    private readonly string privateReadonlyString = "100";

    private static readonly int privateStaticReadonlyInt = 100;
    private static readonly string privateStaticReadonlyString = "100";
  }
}

I wrote tests checking the possiblity to change value of readonly and static readonly fields.
Answer is yes, both of them you can change the value.
I was thinking about how to protect yourself, so I added const fields as below.
 
namespace InternalClasses
{
  class InternalCallReadonlyVsConst
  {
    private readonly int privateReadonlyInt = 100;
    private readonly string privateReadonlyString = "100";

    private static readonly int privateStaticReadonlyInt = 100;
    private static readonly string privateStaticReadonlyString = "100";

    private const int privateConstInt = 100;
    private const string privateConstString = "100";
  }
}

When I try change the value of const fields I got "FieldAccessException" as you can see in my code. 

    [TestMethod()]
    public void CreateInternalClassInstanceAndSetConstFields()
    {
      object InternalCallReadonlyVsConst = ReflectionHelper.CreateInstanceOfInternalClass(
                      "InternalClasses", "InternalClasses", "InternalCallReadonlyVsConst");
      Assert.IsNotNull(InternalCallReadonlyVsConst);

      object privateConstInt = ReflectionHelper.GetNonPublicIntFiledValue(InternalCallReadonlyVsConst, 
                                            "privateConstInt", InternalCallReadonlyVsConst.GetType());
      Assert.IsNotNull(privateConstInt);
      Assert.IsTrue(privateConstInt is Int32);
      Assert.AreEqual(privateConstInt, 100);

      Assert.ThrowsException< FieldAccessException>(()=> privateConstInt = 
                ReflectionHelper.GetAndSetValue(InternalCallReadonlyVsConst, 1234, "privateConstInt"));
      Assert.IsNotNull(privateConstInt);
      Assert.IsTrue(privateConstInt is Int32);
      Assert.AreEqual(privateConstInt, 100);


      object privateConstString = ReflectionHelper.GetNonPublicIntFiledValue(InternalCallReadonlyVsConst, 
                                            "privateConstString", InternalCallReadonlyVsConst.GetType());
      Assert.IsNotNull(privateConstString);
      Assert.IsTrue(privateConstString is string);
      Assert.AreEqual(privateConstString, "100");

      Assert.ThrowsException(() => privateConstString = 
             ReflectionHelper.GetAndSetValue(InternalCallReadonlyVsConst, "1234", "privateConstString"));
      Assert.IsNotNull(privateConstString);
      Assert.IsTrue(privateConstString is string);
      Assert.AreEqual(privateConstString, "100");
    }

You can draw the conclusion. If security of your application important to you use const fields when it is possible.

 In the next part I will show more examples of how to defend against reflection.

Komentarze

Prześlij komentarz

Popularne posty z tego bloga

Czarna lista produktów zawierających utwardzony tłuszcz roślinny. Aktualizacja 03.08.2013

Obraz
Cześć, Może nie każdy wie czym jest utwardzony tłuszcz roślinny. Otóż jest to wysoce przetworzony i niezdrowy tłuszcz, który powstaje z płynnych tłuszczy roślinnych. Na pierwszy rzut oka nie brzmi to źle... Okazuje się jednak, że podczas produkcji takich tłuszczy powstają bardzo niezdrowe tłuszcze trans. Są to bardzo zbite cząsteczki tłuszczu, które przyklejają się do ścianek naszych żył. Niby taka zmiana niewinna zmiana z płynnego tłuszczu do postaci stałej. Powodować one mogą miażdżyce, raka piersi, raka gruczołu krokowego, cukrzycę, niepłodność u kobiet, otyłość oraz problemy z wątrobą. Znajdują się one w większości margaryn, produktach fast food, frytkach, batonach, ciastek a nawet lodach. Poniżej przedstawiam listę produktów, zawierających tą bardzo niezdrową odmianę tłuszczu, będzie ona aktualizowana: Aktualizacja listy na dzień grudzien 2017 Aksam  -Orzeszki Beskidzkie Aksam - częściowo utwardzony olej palmowy Alpen Gold  -Mleczna czekolada karmelowa Alpen
Czytaj więcej

[Part 1] Is c# safe? Are Internal class accessible only from the same assembly?

Obraz
Hi I was wondering for some time about encapsulation in C#. Are internal class accessible only from the same assembly? Are private fields accessible only from inside class? Quoting the Microsoft website: "Private access is the least permissive access level. Private members are accessible only within the body of the class or the struct in which they are declared...." "Internal types or members are accessible only within files in the same assembly..." It looks like true. I believed it, but I decided to check it out. There is a possibility to read and modify private fields and create instances of internal classes when reflection is used. Reflection is the built-in mechanizm allowing to dynamically create instance of class or invoke methods. Unfortunately it allows access to private fields and much more... I wrote a simple example showing how powerful is reflection. Code is uploaded to github.  GITHUB - PrivateFieldsInternalClass My soluti
Czytaj więcej

Olej palmowy w produktach

Obraz
Cześć, Poprzedni post zawiera listę niezdrowych produktów zawierających utwardzony tłuszcz, natomiast naszło mnie przemyślenie, że producenci nie muszą podawać, że dany produkt zawiera utwardzony tłuszcz roślinny. Najczęściej spotykany może on być pod postacią oleju lub tłuszczu palmowego. Poniżej lista produktów jakie udało się odnaleźć z tymi składnikami. 3Bit Baton w czekoladzie mlecznej z nadzieniem mlecznym i herbatnikiem 46 g cukier, tłuszcz roślinny (palmowy), herbatnik 14% [mąka pszenna, cukier, olej palmowy, pełne mleko w proszku, sól, substancje spulchniające (węglany sodu, węglany amonu), emulgator (E 481)], odtłuszczone mleko w proszku (w nadzieniu 7%), serwatka w proszku (z mleka), tłuszcz kakaowy, miazga kakaowa, tłuszcz mleczny, emulgator (E 442, lecytyna sojowa, lecytyna słonecznikowa), aromaty, sól, Oprócz tłuszczu kakaowego zawiera tłuszcze roślinne 3Bit Baton w czekoladzie mlecznej z nadzieniem o smaku orzechowym i herbatnikiem 46 g cukier, tłuszcz ro
Czytaj więcej